Ingeniería social para IT

El USB olvidado como técnica del anzuelo

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
Esta técnica puede definirse mediante el refrán: La curiosidad mató al gato. Si dejamos un disco o un USB con malware deliberadamente olvidado, la curiosidad hará que alguien lo conecte a su equipo informático para ver qué contiene.

Transcripción

"La curiosidad mató al gato". Es un dicho popular cuyo origen se remonta al siglo XVI en Reino Unido. Aunque por aquel entonces se decía que la preocupación mató al gato, lo realmente cierto es que el miedo y la sospecha nos mantienen a salvo, mientras que la curiosidad puede dejarnos como al gato. Una de las tácticas más sencillas que existen para ejecutar un ciberataque es recurrir a la curiosidad de las víctimas. Es una de las grandes virtudes y defectos del ser humano. En base a la curiosidad, investigamos, aprendemos y avanzamos. Pero con la misma motivación, nos metemos en problemas a nosotros mismos o a terceros. Por eso la curiosidad también es un recurso del ingeniero social. porque bien alimentada y combinada con la ambición, el egoísmo o la lujuria puede hacernos abandonar toda precaución. ¿Por qué entonces el título del USB olvidado? Porque las memorias USB son, en la mercadotecnia actual, como los bolígrafos de empresa. Todo el mundo tiene más de uno y todo el mundo los codicia. Es un extraño fetiche de nuestros días, que combinado con su capacidad de almacenamiento, se convierte en un arma de doble filo en manos de un incauto con acceso a una computadora mal protegida. Por suerte o por desgracia, no podemos saber qué información contiene un dispositivo de almacenamiento, sea USB, disco duro, DVD o tarjeta SD si no lo conectamos a una computadora. Por lo tanto, la única forma de satisfacer nuestra curiosidad de descubrir qué oscuros morbosos o insulsos secretos almacena es conectarla al PC más próximo que tengamos. Sabemos que la memoria USB no es de nuestra propiedad, pero estaba ahí, donde alguien la olvidó o la perdió. Está precisamente en ese lugar que frecuento yo o que tantos empleados de la empresa frecuentamos. Puede ser un sitio tan insólito como el lavabo o tan normal como la cafetería. También puede ser que se cayese u olvidase junto a mi mesa o sobre mi propia mesa. Justo el sitio donde mi computadora está más a mano para poder curiosear. ¿Qué secretos guarda, nóminas, contratos? ¿Tiene películas pirata que aún yo no he visto? A lo mejor solo soy un buen compañero y quiero mirar los documentos para investigar quién es su dueño y devolver el dispositivo a su legítimo propietario, pero sea como fuere tengo que conectarlo a mi computadora. Una vez que conectamos el dispositivo desconocido a nuestra computadora, nos exponemos a gran cantidad de tipos de malware. Por suerte, hoy en día, los sistemas operativos no ejecutan de forma automática el software contenido en memorias USB o en CD, pero eso no significa que estemos totalmente a salvo, ya que la mayor parte de nosotros no nos satisfacemos con ver el nombre de los archivos y abriremos algunos de ellos, exponiendo la seguridad de nuestro equipo y hasta la de la propia red a riesgos totalmente innecesarios. Si el olvidadizo ingeniero social que sufrió el despiste y perdió la memoria USB –cáptese la ironía– resulta que no es tan despistado, puede que alimente con tentación extra nuestro deseo de satisfacer curiosidad. Como hemos dicho, apelando a la lujuria, la ambición o cualquier otro tipo de deseos que puedan cegarnos, parece algo trivial pero el método del CD o USB olvidados, también conocido como "dropping", suele decorarse con pornografía para apelar a la lujuria de quien lo encuentre. Es muy básico, casi absurdo, pero resulta muy eficiente, ya que quien inserte el dispositivo en su computadora no concibe estar haciendo algo peligroso, desea satisfacer su líbido y además puede haber descubierto algo divertido que compartir con los compañeros de trabajo. Son demasiadas cosas supuestamente buenas que hay que darse prisa en satisfacer antes de que aparezca el dueño del dispositivo a reclamarlo. Con el aliciente de las risas que producirá por la vergüenza si cuando lo reclama el contenido ya está en pantalla. Es básico, es una llamada a la lujuria y a la curiosidad, pero es efectivo, muy efectivo a nivel estadístico. Para ataques más específicamente desarrollados contra individuos concretos, la memoria puede adornarse con indicios de algo específicamente interesante para la víctima escogida. Esto puede ir desde temas relacionados con sus aficiones hasta documentos con información profesional clasificada o de extrema utilidad, que aparecen como caídos del cielo para ayudarle con sus ambiciones. Hay casos documentados en que se han usado hasta cargadores de batería de cortesía para infectar teléfonos inteligentes con malware. Así que no solo de memorias USB vive el ingeniero social. El mejor remedio para estos casos es no conectar nada a nuestros dispositivos cuyo origen desconozcamos, ni siquiera soportes no modificables como DVD, sobre todo si parece demasiado bueno para ser verdad. En entornos de trabajo debidamente controlados, el administrador de sistemas puede incluso deshabilitar el uso de memorias USB si no son necesarias para la actividad profesional.

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.